华为云安全配置基线指南的标准合规包(level 1)
本文为您介绍华为云安全配置基线指南的标准合规包(level 1)的应用场景以及合规包中的默认规则。
应用场景
华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
此表中的建议项编号对应华为云安全配置基线指南文档的章节编号,供您查阅参考。
|
建议项编号 |
建议项说明 |
合规规则 |
规则中文名称 |
涉及云服务 |
规则描述 |
|---|---|---|---|---|---|
|
C.CS.FOUNDATION.G_1.R_1 |
确保管理员账号禁用 AK/SK |
iam-root-access-key-check |
根用户存在可使用的访问密钥 |
iam |
根用户存在可使用的访问密钥,视为“不合规” |
|
C.CS.FOUNDATION.G_1.R_2 |
确保管理员账号已启用 MFA |
root-account-mfa-enabled |
根用户开启MFA认证 |
iam |
根用户未开启MFA认证,视为“不合规” |
|
C.CS.FOUNDATION.G_1.R_14 |
确保不创建允许“*:*”管理权限的 IAM 策略 |
iam-policy-no-statements-with-admin-access |
IAM策略不具备Admin权限 |
iam |
IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规” |
|
C.CS.FOUNDATION.G_2.R_1 |
启用 CTS |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
cts |
账号未在指定region列表创建并启用CTS追踪器,视为“不合规” |
|
C.CS.FOUNDATION.G_2.R_15 |
开启日志文件完整性校验 |
cts-support-validate-check |
CTS追踪器打开事件文件校验 |
cts |
CTS追踪器未打开事件文件校验,视为“不合规” |
|
C.CS.FOUNDATION.G_3_3.R_1 |
禁止使用 CCE 已经 EOS 的 K8S 集群版本 |
cce-cluster-end-of-maintenance-version |
CCE集群版本为处于维护的版本 |
cce |
CCE集群版本为停止维护的版本,视为“不合规” |
|
C.CS.FOUNDATION.G_3_3.R_6 |
集群节点不要暴露到公网 |
cce-endpoint-public-access |
CCE集群资源不具有弹性公网IP |
cce |
CCE集群资源具有弹性公网IP,视为“不合规” |
|
C.CS.FOUNDATION.G_4.R_1 |
确保限制 SSH 的 Internet 公网访问 |
vpc-sg-restricted-ssh |
安全组入站流量限制SSH端口 |
vpc |
当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” |
|
C.CS.FOUNDATION.G_4.R_4 |
确保安全组不允许源地址 0.0.0.0/0 访问远程管理端口及高危端口 |
vpc-sg-restricted-common-ports |
安全组入站流量限制指定端口 |
vpc |
当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规” |
|
C.CS.FOUNDATION.G_5_1.R_2 |
禁用匿名访问 |
obs-bucket-policy-not-more-permissive |
OBS桶策略授权约束 |
obs |
OBS桶策略授权了控制策略以外的访问行为,视为“不合规” |
|
C.CS.FOUNDATION.G_5_1.R_5 |
使用桶策略限制对 OBS 桶的访问必须使用 HTTPS 协议 |
obs-bucket-ssl-requests-only |
OBS桶策略授权行为使用SSL加密 |
obs |
OBS桶策略授权了无需SSL加密的行为,视为“不合规” |
|
C.CS.FOUNDATION.G_6_1.R_1 |
开启加密通信 |
rds-instance-ssl-enable |
RDS实例启用SSL加密通讯 |
rds |
RDS实例未启用SSL加密通讯,视为“不合规” |
|
C.CS.FOUNDATION.G_6_1.R_5 |
避免绑定 EIP 直接通过互联网访问 |
rds-instance-no-public-ip |
RDS实例不具有弹性公网IP |
rds |
RDS资源具有弹性公网IP,视为“不合规” |
|
C.CS.FOUNDATION.G_6_2.R_1 |
开启加密通信 |
dds-instance-enable-ssl |
DDS实例开启SSL |
dds |
DDS实例未开启SSL,视为“不合规” |
|
C.CS.FOUNDATION.G_6_2.R_7 |
禁止使用默认端口 |
dds-instance-port-check |
DDS实例端口检查 |
dds |
DDS实例的端口包含被禁止的端口,视为“不合规” |
|
C.CS.FOUNDATION.G_6_2.R_8 |
补丁升级 |
dds-instance-engine-version-check |
DDS实例数据库版本检查 |
dds |
低于指定版本的DDS实例,视为“不合规” |
|
C.CS.FOUNDATION.G_6_3.R_2 |
开启备份功能设置合理的备份策略 |
rds-instance-enable-backup |
RDS实例开启备份 |
rds |
未开启备份的rds资源,视为“不合规” |
|
C.CS.FOUNDATION.G_6_3.R_4 |
禁止使用默认端口 |
rds-instance-port-check |
RDS实例默认端口检查 |
rds |
RDS实例的端口包含被禁止的端口,视为“不合规” |
|
C.CS.FOUNDATION.G_6_3.R_8 |
数据库版本更新到最新版本 |
rds-instance-engine-version-check |
RDS实例数据库引擎版本检查 |
rds |
RDS实例数据库引擎的版本低于指定版本,视为“不合规” |
|
C.CS.FOUNDATION.G_7_2.R_1 |
开启 Kerberos 认证 |
mrs-cluster-kerberos-enabled |
MRS集群开启kerberos认证 |
mrs |
MRS集群未开启kerberos认证,视为“不合规” |
|
C.CS.FOUNDATION.G_7_2.R_3 |
集群 EIP 安全组管控 |
mrs-cluster-no-public-ip |
MRS集群未绑定弹性公网IP |
mrs |
MRS集群绑定弹性公网IP,视为“不合规” |
|
C.CS.FOUNDATION.G_7_2.R_3 |
集群 EIP 安全组管控 |
mrs-cluster-in-vpc |
MRS资源属于指定VPC |
mrs |
指定虚拟私有云ID,不属于此VPC的mrs资源,视为“不合规” |
|
C.CS.FOUNDATION.G_7_3.R_6 |
开启 SSL 加密传输功能 |
dws-enable-ssl |
DWS集群启用SSL加密连接 |
dws |
DWS集群未启用SSL加密连接,视为“不合规” |
|
C.CS.FOUNDATION.G_8.R_1 |
启用 Web 应用防火墙功能 |
waf-instance-enable-protect |
启用WAF实例域名防护 |
waf |
如果账号未配置并启用WAF防护策略的域名防护,视为“不合规” |
|
C.CS.FOUNDATION.G_8.R_2 |
配置 WAF 地理位置访问策略 |
waf-policy-enable-geoip |
启用WAF防护策略地理位置访问控制规则 |
waf |
如果账号不存在启用地理位置访问控制规则的waf服务防护策略,视为“不合规” |
|
C.CS.FOUNDATION.G_8.R_5 |
启用 WAF 对 Web 基础防护的拦截模式 |
waf-instance-enable-block-policy |
启用WAF实例启用拦截模式防护策略 |
waf |
WAF实例未启用拦截模式防护策略,视为“不合规” |
|
C.CS.FOUNDATION.G_8.R_7 |
启用企业主机安全 HSS(基础版/专业版/企业版/旗舰版) |
ecs-attached-hss-agents-check |
ECS资源绑定服务主机代理防护 |
ecs |
ECS实例未绑定HSS代理并启用防护,视为“不合规” |
